Auftragsverarbeitungsvertrag (AVV / DPA)

Der Kunde (GU) ist Verantwortlicher, der Betreiber von Klaro8 ist Auftragsbearbeiter. Der Betreiber bearbeitet personenbezogene Daten ausschliesslich nach Weisung und zur Erbringung der vertraglichen Leistung.

Gegenstand sind Konto-, Inhalts- und Abrechnungsdaten im Rahmen der Pendenzenverwaltung (Namen, Kontaktdaten, Pendenzen, Fotos, Termine).

• Verschlüsselte Übertragung (HTTPS), Security-Header/CSP.
• Rollenbasierte Zugriffskontrolle, strikte Mandantentrennung.
• Passwort-Hashing (bcrypt), Login-Schutz (Rate-Limit).
• Datenhaltung in der EU (Frankfurt); Zugriffsbeschränkung.

Es werden folgende Sub-Prozessoren eingesetzt:

• Infomaniak – Hosting / Betrieb der Anwendung und der Datenbank (PostgreSQL) auf VPS; Schweiz (Genf).
• Anthropic – KI-Verarbeitung von Verbesserungsvorschlägen (nur wenn aktiviert); USA.
• E-Mail-/SMTP-Anbieter – Versand von Einladungen und Rechnungen (sofern konfiguriert); je nach Konfiguration.

Über Änderungen wird der Kunde vorab informiert und kann begründet widersprechen.

Der Betreiber unterstützt den Kunden bei Betroffenenanfragen und Meldepflichten und löscht bzw. retourniert die Daten nach Vertragsende, soweit keine Aufbewahrungspflicht entgegensteht.